Die Zahl der Cyber-Angriffe nimmt stetig zu. Doch Opfer möchten auch wissen, wer der Täter war – das ist oftmals jedoch nicht so einfach. Verantwortliche Cyber-Gruppen spezialisieren sich immer mehr und kooperieren bei Bedarf. Wie können Cyber-Gruppen identifiziert werden und somit weitere Schäden bereits verhindert werden, bevor sie passieren? Warum gestaltet sich die Identifikation als so schwierig?
Im Zuge eines Cyber-Angriffs stellt sich für Opfer immer die Frage, wer der Täter war. So auch beim Angriff gegen SolarWinds, bei dem der Update-Mechanismus der weltweit genutzten Software ausgenutzt wurde, um Hintertüren in bis zu 18.000 Behörden und Unternehmen zu installieren. Hier investierte die Sicherheitsfirma FireEye viel Mühe, um die Täter zu identifizieren und herauszufinden, ob es sich um eine bereits bekannte oder noch unbekannte Gruppe handelt. Bisher sind sie jedoch noch zu keinem Ergebnis gekommen.
Das Ziel ist jedoch nicht, die Täter vor Gericht zu bekommen. Es geht darum, Maßnahmen zum Schutz oder zur Schadensminimierung abzuleiten, sobald man weiß, wie genau die Täter vorgegangen sind. Dies ist nur möglich, wenn klar ist, wie die bisherige Vorgehensweise war und welche Absichten die Täter verfolgen.
Einige Gruppen spezialisieren sich beispielsweise auf bestimmte Branchen, welche sie auf spezielle Art und Weisen angreifen. Wenn wie vom Analysten der Firma Kaspersky vermutet, die Gruppe Snake hinter dem SolarWinds-Angriff steckt, ist es wahrscheinlich, dass die Hintertüre vor allem bei Regierungsbehörden und Rüstungsfirmen eingesetzt würde. Sollte aber die Gruppe APT41 hinter dem Angriff stecken, muss man in Zukunft mit Folgeangriffen auf Chemie- und Hightech-Unternehmen rechnen. Die Zuordnung zu einer bestimmten Gruppe liefert also Kontexte, die für das weitere Vorgehen wichtig sind. Denn die IT-Security kann nicht alle Maßnahmen komplett umsetzen, sondern muss Prioritäten setzen.
Tätergruppen finden und definieren
Speziell für das Finden und Definieren der Tätergruppen durchlaufen Sicherheitsfirmen und Regierungsbehörden kontinuierlich einen Attributionsprozess. Dabei werden möglichst viele Daten von Cyber-Angriffen gesammelt und anhand von technischen Daten (z. B. Angriffsmethode) zu Clustern zusammengefasst. Man nimmt dabei an, dass hinter ähnlichen Angriffen dieselben Täter stecken. Angreifer nutzen immer wieder dieselben Ressourcen und Methoden. So werden die Cluster von ähnlichen Angriffen als APT (Advanced Persistent Threat)-Gruppen bezeichnet. Diese Gruppen werden dann durchnummeriert oder bekommen fantasievolle Name wie Snake.
Im Regierungsumfeld wechselt die Zuständigkeit nach dieser Analyse. Es übernehmen Ermittlungs- und Sicherheitsbehörden wie der Verfassungsschutz vom BSI, welche die Analysen weiterführen. Bei Sicherheitsunternehmen gibt es in der Regel keine unterschiedlichen Zuständigkeiten für Prozessschritte.
Die von einem Angriff vorgefundenen Spuren werden für eine Attribution genutzt, bei der nach Übereinstimmungen in bekannten Clustern gesucht wird. Es werden Schadprogramme, Kontrollserver und das Cui Bono sowie typischerweise die Spracheinstellung in Schadprogrammen untersucht.
Analysten verfügen heutzutage über einen ganzen Katalog an Spuren, auf die geprüft werden kann, wodurch Rückschlüsse zum Täter und das Ursprungsland gezogen werden können. Je mehr Spuren gefunden werden und je konsistenter diese sind, desto stärker wird die Attributionshypothese. So kann man den Angriff anhand einer standardisierten Klassifizierung bereits bekannten Tätern zuordnen oder keine belastbaren Hinweise auf Täter erhalten.
Trugspuren der Angreifer
Allerdings führt nicht jede Spur automatisch zum richtigen Täter. Denn das Verfahren zur Analyse ist den Tätern ebenfalls bekannt, weswegen sie oft Trugspuren einbauen. Je mehr Spuren unterschiedlicher Art die Analysten untersuchen, desto schwieriger wird es auch für die Täter, die Trugspuren konsistent zu halten. Deshalb setzen einige Gruppen auf Verwirrungstaktiken. In solchen Fällen untersuchen die Analysten, welche der Spuren leicht oder schwer zu fälschen sind und fällen auf dieser Grundlage ihr Urteil über die Identität der Täter.
Sowohl Sicherheitsfirmen, Behörden und Hobbyforscher haben Zugriff zu Ausschnitten aus der Gesamtaktivität der Täter. Was dabei auffällt: nur selten herrscht Meinungsverschiedenheit zum Herkunftsland der Täter. Dissens gibt es allerdings oft in Zuschnitt einer APT-Gruppe. So sind sich Sicherheitsforscher teilweise uneinig, ob es sich bei verschiedenen APT-Gruppen um dieselben Täter, um unterschiedliche teilgruppen derselben Einheit oder um ganz verschiedene Täter-Gruppen handelt.
Warum das so ist? Oft erhalten Sicherheitsfirmen von ihren Kunden unterschiedliche Daten zu den Angriffen. Außerdem gibt es keine einheitliche Methode, ATP-Gruppen zu definieren. Erschwerend kommt hinzu, dass APT-Gruppen keine starren Teams sind. So können Täter je nach Ziel unterschiedliche Kontakte und Auftragnehmer für den Angriff beauftragen. Deshalb sollten sich Gruppendefinitionen nie auf nur ein Merkmal beschränken. Es sollten so viele Aspekte wie möglich berücksichtigt werden.
Klassifizierung nach MICTIC
Das BSI analysiert Cyper-Aktivitäten anhand von MICTIC: Malware, Infrastruktur, Control Server, Telemetrie, Intelligence und Cui Bono. Dahinter stecken die systematische Erfassung und Verarbeitung der verschiedenen Spurenarten. Nicht alle Aspekte der MICTIC sind für jeden Analysten zugänglich. In diesem Fall sollten die verfügbaren Aspekte umfassend betrachtet werden. Liegen für eine vermeintliche APT-Gruppe noch nicht genügend Informationen über die Aspekte vor, ist dies ein Zeichen, dass die Aktivitäten noch nicht genügend charakterisiert wurden.
Je mehr MICTIC-Aspekte eine Gruppendefinition abdecken, umso klarer ist sie. Dynamische oder arbeitsteilige APT-Gruppen zu beschreiben, wird ebenfalls handhabbarer.
Die Idee von MICTIC liegt darin, dass APT-Gruppen innerhalb der Aspekte charakteristische Eigenschaften aufweisen und sich die Arbeitsteilung wahrscheinlich an den Grenzen der Aspekte ergibt. Die Aspekte benötigen nämlich unterschiedliche technische oder organisatorische Fähigkeiten, und innerhalb dieser Aufgabenbereiche gibt es mehr Abstimmungsaufwand als zwischen ihnen.
So erweitert sich die typische Gruppenbeschreibung um zusätzliche Elemente: Aspekte, die die Gruppe selbst abdeckt bzw. einkauft, Kooperation mit anderen. Täter, die alle Aspekte selbst abdecken und erbringen, werden als monolithische Gruppe bezeichnet.
Zukünftig sollten in APT-Berichten unterschiedliche Kategorien von APT-Gruppen berücksichtigt werden. So können Gruppen damit charakterisiert werden, welche Aspekte selbst abgedeckt, welche gekauft werden und bei welchen mit anderen kooperiert wird. So entstehen dann neben den „monolithischen Gruppen“, die „Malware-Entwickler“ und „Freelance Operateure“ (bekommen von Auftraggebern Malware und Ziel vorgegeben), die „Quartermaster“ genannten „Orchestrator“ (koordiniert je nach Situation und Ziel unterschiedliche Freelancer und Auftragnehmer).
Im zu Beginn erwähnten Fall von SolarWinds ist es möglich, dass ein Team Zugang zu der Entwicklungsumgebung erlangt hat, dann einen Dienstleister zur Programmierung der Hintertür beauftragte und ein weiteres Team später die Hintertüren bei ausgewählten Kunden von SolarWinds ausgenutzt hat. Denkbar ist, dass dies auch von einer monolithischen Gruppe durchgeführt wurde. Wir brauchen allerdings analytische Konzepte wie MICTIC und die Gruppen-Kategorie, um anhand von Daten zwischen den Szenarien unterscheiden zu können.